linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
10.April 2024 | Team Datenschutz | Thema: IT-Sicherheit

Arbeit der IT-Systemadministratoren transparent gestalten

Schlagwörter: DSGVO | Sicherheit | Tipps

In der Verwaltung von E-Mail-Systemen, beispielsweise Exchange Online, ist es von großer Bedeutung, die Zugriffsbefugnisse der IT-Systemadministratoren und den Schutz der Benutzerdaten zu beachten. Transparenz ist hier das Schlüsselwort.

Bronze-Zwerg mit LaptopKlare Regeln definieren

Systemadministratoren haben aufgrund ihrer Funktion erhebliche Rechte in den Systemen, die sie verwalten. Diese Rechte dürfen sie jedoch nur verwenden, um ihre Aufgaben auszuführen.
Deshalb ist es essenziell, klare Richtlinien und transparente Kommunikation darüber zu etablieren, wie und in welchen Fällen Administratoren auf E-Mails und Kontodaten anderer Beschäftigter zugreifen dürfen. Eine widerrechtliche Nutzung ist somit definiert und ein unzulässiger Zugriff kann ausgeschlossen werden. Durch die Regelungen wird der legitimierte Zugriff von Administratoren auf ein notwendiges Minimum beschränkt. Die Benutzerkonten der Administratoren selbst sollten individuell zuordenbar sein.

Einsatzprotokolle schaffen Transparenz

Grundsätzlich sollten Administratoren nur dann auf Endnutzerkonten zugreifen, wenn es für ihre Aufgaben unerlässlich und mit dem Endnutzer abgestimmt ist.
Dabei ist die Überwachung und Protokollierung sämtlicher Administratoraktivitäten entscheidend, um Transparenz zu gewährleisten und ggf. Missbrauch aufzudecken. Nur im Sonderfall sollten klare Notfallzugriffsrichtlinien umgesetzt werden, um sicherzustellen, dass Administratoren im Bedarfsfall auf Konten zugreifen können. Jedoch darf dies nur unter strikter Kontrolle, bzw. nach dem 4-Augen-Prinzip und mit Dokumentation des Vorgehens passieren. Die Integrität und Vertraulichkeit von Passwörtern muss dabei gewahrt bleiben. Es gilt also zu verhindern, dass Administratoren nach Passwörtern fragen oder sie direkt auf diese z.B. im Browser oder Passwortmanager gespeicherten Passwörter zugreifen können.
Wenn möglich und besonders im Verdachtsfall sollte ein notwendiger Zugriff im Beisein der betroffenen Person erfolgen. Dies gewährleistet die nötige Transparenz gegenüber der betroffenen Person.

Augen auf bei der Administratorenwahl!Zwerg mit Laptop

Die Auswahl vertrauenswürdiger und geschulter Administratoren ist somit unerlässlich. Die Verwendung von sicheren, regelmäßig geänderten Passwörtern und die Implementierung von Multi-Faktor-Authentifizierung (MFA) tragen zusätzlich zur Sicherheit bei.
Weiter müssen die Datenschutz– und Informationssicherheitsrichtlinien und gesetzliche Bestimmungen, wie beispielsweise der Datenschutz-Grundverordnung (DSGVO), eingehalten werden.
Die genaue Umsetzung geeigneter Maßnahmen kann je nach individueller Anforderung variieren. Die enge Zusammenarbeit mit Ihrem IT-Team und dem/der Datenschutzbeauftragten ist empfehlenswert, um sicherzustellen, dass die Sicherheitsrichtlinien und -verfahren angemessen und umsetzbar sind.

 

Links/Verweise:

MFA: https://www.procado.de/msp/managed-security/managed-mfa/

procado Datenschutzkonzept

procado Datenschutzbeauftragter

BSI zur Informationssicherheitsleitlinie

DSGVO: https://dsgvo-gesetz.de/

zurück
Themen
Schlagwörter
Girls-DayDSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarkleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Recht auf Auskunft – was wird da geregelt?Auskunftsrecht AssoziationenBfDI / procadoprocadoTrans Atlantic Data Privacy Framework – TADPF